公開日:2026/03/11 最終更新日:2026/03/11

JVNVU#97972410
複数のLantronix製品における複数の脆弱性

概要

Lantronix Inc.が提供する複数の製品には、複数の脆弱性が存在します。

影響を受けるシステム

CVE-2025-67034、CVE-2025-67035、CVE-2025-67036、CVE-2025-67037、CVE-2025-67038

  • EDS5000 バージョン 2.1.0.0R3
CVE-2025-67039、CVE-2025-70082、CVE-2025-67041
  • EDS3000PS バージョン 3.1.0.0R2

詳細情報

Lantronix Inc.が提供する複数の製品には、次の複数の脆弱性が存在します。

  • OSコマンドインジェクション(CWE-78)
    • CVE-2025-67034、CVE-2025-67035、CVE-2025-67036、CVE-2025-67037、CVE-2025-67038、CVE-2025-67041
  • 代替パスまたは代替チャネルを使用した認証回避(CWE-288)
    • CVE-2025-67039
  • 旧パスワードの確認などをせず新パスワードの設定が可能(CWE-620)
    • CVE-2025-70082

想定される影響

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

  • nameパラメータにOSコマンドを挿入され、管理者権限で実行される(CVE-2025-67034)
  • server keysや、usersknown hostsなど様々な対象の削除時に任意のコマンドを挿入され、管理者権限で実行される(CVE-2025-67035)
  • 任意のOSコマンドを挿入され、管理者権限で実行される(CVE-2025-67036)
  • tunnelパラメータにOSコマンドを挿入され、管理者権限で実行される(CVE-2025-67037)
  • usernameパラメータにOSコマンドを挿入され、管理者権限で実行される(CVE-2025-67038)
  • 管理ページの認証を回避される(CVE-2025-67039)
  • 管理者パスワードを変更される(CVE-2025-70082)
  • 元のコマンドをエスケープ処理され、任意のコマンドを管理者権限で実行される(CVE-2025-67041)

対策方法

アップデートする
開発者は、アップデートを提供しています。
詳細は、開発者が提供する情報を確認してください。

ベンダ情報

ベンダ リンク
Lantronix Inc. Latest Firmware for the EDS5000 series (EDS5008, EDS5016, EDS5032)
Latest Firmware for the EDS3000PS series

参考情報

  1. ICS Advisory | ICSA-26-069-02
    Lantronix EDS3000PS and EDS5000

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia